ADC

Configurar la autenticación de dos factores con un esquema de inicio de sesión y un esquema de acceso directo en la autenticación nFactor de NetScaler

En la siguiente sección se describe el caso de uso de la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso.

Autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso

Supongamos un caso de uso donde los administradores configuran la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso a través. El cliente envía un nombre de usuario y dos contraseñas. El primer conjunto de nombre de usuario y contraseña se evalúa mediante una directiva LDAP como primer factor y la segunda contraseña se evalúa mediante una directiva RADIUS como segundo factor.

  1. Una vez que acceda al servidor virtual de administración del tráfico, se le redirigirá a la página de inicio de sesión para la autenticación.

  2. El cliente envía un nombre de usuario y dos contraseñas, por ejemplo: usuario1, pass1 y pass2.

  3. El primer factor se evalúa con respecto a una acción LDAP para usuario1 y pass1. La evaluación tiene éxito y pasa al siguiente factor, la directiva “label1”; en este caso.

  4. La etiqueta de directiva especifica que el segundo factor es la transferencia con una directiva RADIUS. Un esquema de transferencia significa que el dispositivo NetScaler no vuelve al cliente para realizar ninguna otra entrada. NetScaler simplemente usa la información que ya tiene. En este caso, es user1 y pass2. El segundo factor se evalúa implícitamente.

  5. El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración del tráfico, donde está disponible el contenido solicitado. Si se produce un error en el inicio de sesión, el explorador del cliente se muestra con la página de inicio de sesión original para que el cliente pueda volver a intentarlo.

    Página de inicio de sesión

Realice lo siguiente mediante la CLI

  1. Configure el servidor virtual de autenticación y administración del tráfico.

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. Configure un segundo factor.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. Configure el factor LDAP y RADIUS.

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. Enlazar las directivas.

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

Nota

La configuración también se puede crear a través del visualizador nFactor disponible en NetScaler versión 13.0 y posteriores.

Visualizador nFactor dos factores

Configuración mediante nFactor Visualizer

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujos de nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo de nFactor.

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor. Haga clic en Crear.

    Agregar un nombre para el flujo

  4. Para agregar el esquema de dos contraseñas para el primer factor, haga clic en Agregar esquema.

    Agregar un esquema

  5. Haga clic en Agregar directiva para agregar la directiva LDAP. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente de la lista.

    Agregar directiva LDAP

  6. En la ficha Acción, seleccione servidor LDAP.

    Agregar directiva LDAP

    Nota

    Si no se agrega el servidor LDAP, para obtener más información sobre cómo agregar un servidor LDAP, consulte Directivas de autenticación LDAP

  7. Haga clic en verde + para agregar el factor RADIUS y haga clic en Crear.

    Agregar siguiente factor

  8. No agregue un esquema para este factor, ya que de forma predeterminada no toma ningún esquema. Para agregar la directiva de autenticación RADIUS, haga clic en Agregar directiva.

    Directiva de autenticación de Radius

    Nota

    Si no se agrega el servidor RADIUS, para obtener más información sobre cómo agregar un servidor RADIUS, consulte Para configurar la autenticación RADIUS

  9. Haga clic en Listo para guardar la configuración.

  10. Para enlazar el flujo nFactor creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.

Configurar la autenticación de dos factores con un esquema de inicio de sesión y un esquema de acceso directo en la autenticación nFactor de NetScaler